Kube-OVN v1.16.0 发布:面向生产环境,补齐企业云原生网络关键能力
Kube-OVN v1.16.0 已正式发布。
本版本在 VPC 出口、多网络、安全组、DHCP、KubeVirt 等方向进行了多项能力增强,进一步补齐生产环境中的网络场景支持。
灵雀云提供 Kube-OVN 企业版,用于面向生产环境提供云原生网络能力,支持容器、虚拟机等多类工作负载的统一网络平面建设。
一、VPC 出口网关支持 BGP 和 EVPN(L3VPN)
此前,VPC 的出口流量接入企业骨干网或数据中心网络时,通常需要通过静态路由和手工 NAT 完成配置。在网络规模扩大、租户数量增加或拓扑复杂度提升的情况下,维护成本也会随之上升。v1.16.0 在 VPC Egress Gateway Pod 中集成 FRR,支持 BGP 和 EVPN(L3VPN),用于增强 VPC 出口与现有网络体系的对接能力。
▍本次更新 支持 BGP 与 EVPN(L3VPN),并支持自定义资源配置和带宽限制。 ▍适用场景 可用于支持 VPC 出口路由的动态宣告,以及跨租户、跨集群、跨机房场景下的网络互通与隔离需求。
二、SecurityGroup 引入 Tier,复杂规则更好管
SecurityGroup 是生产环境中的常用能力。随着规则数量增加,优先级空间和规则组织方式会直接影响配置效率与后续维护。在此前版本中,优先级范围相对有限,分层管理能力也有待补齐。针对这类需求,v1.16.0 对 SecurityGroup 相关能力进行了扩展。
▍本次更新 新增 Tier,优先级范围扩大到 1–16384,并补齐 localAddress 与端口字段。 ▍适用场景 可用于支持更复杂的规则编排与分层治理,满足多角色、多层级、多场景下的安全策略配置需求。
三、多网络 Pod 的 NetworkPolicy
多网络是 Kube-OVN 的重要能力方向。此前,原生 NetworkPolicy 主要覆盖主网络,第二网络上的流量策略控制需要额外处理。在多 provider 网络场景中,缺少统一策略入口会增加配置复杂度。针对这一点,v1.16.0 对多网络 Pod 的 NetworkPolicy 作用范围进行了扩展。
▍本次更新 引入 ovn.kubernetes.io/policy-for 注解,可指定 NetworkPolicy 作用于具体 provider 网络。 ▍适用场景 可用于支持多网络 Pod 在不同 provider 网络上的统一策略管理,满足多网络隔离、业务网/存储网拆分等场景需求。
四、Pod 级别、按网卡粒度的 DHCP 控制
DHCP 在此前主要以 Subnet 级别进行统一控制。在同一子网内存在不同工作负载、不同网卡配置要求时,精细化控制能力相对有限。针对 KubeVirt、传统应用接入以及多网卡差异化配置场景,v1.16.0 补充了面向 Pod 和网卡粒度的 DHCP 控制能力。
▍本次更新 支持通过 Pod 注解控制 DHCP 行为,支持按网卡粒度单独配置,并可覆盖 Subnet 默认值。 ▍适用场景 可用于支持 KubeVirt、传统应用接入以及多网卡差异化配置等需要更细粒度 DHCP 控制的场景。
五、KubeVirt 热迁移覆盖所有网卡
多网卡虚拟机已经成为常见部署形态。此前,KubeVirt 虚拟机热迁移的 multi chassis 选项仅作用于主网卡。在多网卡 VM 场景中,非主网卡流量在迁移过程中的连续性同样重要。针对这一需求,v1.16.0 对相关迁移能力进行了补齐。
▍本次更新 将多 chassis 迁移选项应用到 VM 的所有网卡,完善多网卡热迁移逻辑。 ▍适用场景 可用于支持多网卡虚拟机在热迁移过程中的网络连续性要求,满足虚拟化生产环境中的网络稳定性需求。
六、同一子网内多接口静态 IP/MAC
在网关类、NFV 类以及其他复杂网络工作负载中,同一子网内的多接口静态地址配置是常见需求。针对同一个 Subnet 内挂载多块网卡,并为每块网卡分别指定静态 IP 与 MAC 的场景,v1.16.0 对相关能力进行了补齐。
▍本次更新 支持在同一个 Logical Switch 上配置多个接口,并支持分别指定静态 IP 与 MAC。 ▍适用场景 可用于支持网关类、NFV 类及其他复杂网络工作负载的部署需求,满足对地址稳定性和接口独立配置的要求。
七、其他更新
除了上述核心更新外,本版本还在网络与基础设施能力、运维与平台体验等方面进行了增强。
▍其他更新列表 MetalLB Underlay VPC NAT Gateway Hairpin 流量 可靠性 性能 安全 Helm Chart CRD 字段描述
支持 IPv6 和双栈。
允许 SNAT EIP 到 FIP EIP 的流量;支持任意 EIP 在同一 native VLAN 下共享外部子网网关;NAT Gateway Pod 模板支持自定义注解。
扩展到支持 FIP、VPC 内任意 CIDR 的 SNAT,以及 LoadBalancer。
新增 OpenFlow 自动同步机制;OVN DB 在重新加入 Raft 集群前会先备份 Header。
informer 缓存剥离了 managedFields,内存占用和 API Server 压力下降。
RBAC 使用显式动词列表;容器增加 ephemeral storage 限制。
支持 extraEnv、affinity、nodeSelector、ServiceMonitor 等配置。
所有 CRD 字段补全描述,kubectl explain 体验更友好。
八、灵雀云 Kube-OVN 企业版
灵雀云提供 Kube-OVN 企业版,用于面向生产环境提供云原生网络能力,支持容器、虚拟机等多类工作负载的统一网络平面建设。
▍产品定位 适用于对多租户隔离、网络稳定性、运行治理和持续演进能力有更高要求的场景,可用于支撑 VPC、虚拟化、多网络、安全策略等网络能力在生产环境中的长期运行。
九、试用建议
本版本已提供 Helm Chart 和 YAML 两种安装方式。重点可体验以下能力:VPC 出口 BGP / EVPN、多网络 Pod 的 NetworkPolicy、SecurityGroup 分层这几项能力。
▍版本说明 完整变更列表见官方 Release Notes。 咨询Kube-OVN企业版欢迎访问灵雀云官网(http://www.alauda.cn)或拨打400-6252-832 预约企业专属顾问。
